DedeCMS另一处全版本通杀SQL注入

common.inc.php

这里开始过滤得很完整,往下看

//转换上传的文件相关的变量及安全处理、并引用前台通用的上传函数

uploadsafe.inc.php

//29行

能绕过 GPC

plus\flink.php

虽然都经过 htmlspecialchars

我们看看:

可选。规定如何编码单引号和双引号。

ENT_COMPAT – 默认。仅编码双引号。

ENT_QUOTES – 编码双引号和单引号。

ENT_NOQUOTES – 不编码任何引号。

默认情况下仅编码双引号。

这里不是重点,不过也是能利用的条件之一,用于绕过dede自带的ids。

构造webname 值为:

这里解释一下,经过GPC后 webname 变为 pass\\

经过刚才 uploadsafe.inc.php 的函数后

webname 变为 pass\

插入到SQL语句中就变成了

即吃掉了后面的 ‘ ,从而实现绕过GPC。

不过ExecuteNoneQuery不支持错误回显,那我们就构造好,让他显示出来吧。于是后面的logo函数就变成:

ischeck 为1即绕过审核,结果直接显示出来。

完整参数为:

查版本:

查密码:

利用过程:
一:网站要支持申请友链
url:/plus/flink_add.php
1
=——————————————————–利用开始————————–
直接填写验证码,抓包
修改POST数据
写人exp:

validate为验证码,修改提交即可
2
再打开友情链接
url:plus/flink.php
有个无法显示的图片,查看源码.ok
3

 

利用工具网上找的,不保证安全有效

原文链接:,转发请注明来源!

发表评论

要发表评论,您必须先登录